-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750
需求:
用户反馈Android手机可以正常登陆,iOS12也能正常登陆Skype for business App,但是iOS13不能登陆Skype for business App(服务器端Skype for business server 2015)
参考文档如下:
https://support.apple.com/zh-cn/HT210176
https://windowstechpro.com/how-to-migrate-pki-2-tier-sha1-to-sha256/
参考Apple公司官方说明,如下:
https://support.apple.com/zh-cn/HT210176
下面开始着手解决这个兼容性问题,
1、 我们从Apple的官方说明可以得出对TLS证书的几点要求,
① 、TLS证书必须使用大于或等于2048位的密钥;
② 、TLS证书必须使用SHA-2系列算法,不再信任SHA-1颁发的证书;
③ 、证书使用者备用名称需包括连接服务器的DNS名称;
④ 、2019年7月1号后签发的TLS证书,增强型密钥用法中需要包括服务器认证;
⑤ 、TLS证书有效期必须小于或者等于825天,也就是2年多一点,不能超过3年。
2、 检查我们的CA证书颁发机构后发现(用户环境使用的自建证书,非第三方公网证书,第三方公网证书由于都已经更新了密钥算法到SHA-2,所以不会存在无法登陆iOS的问题),hash算法为SHA1,如下图,从前面的Apple官方描述可以看出这个算法已经不支持了,我们有两个办法来解决这个问题,第一是购买公网证书,第二是更新现有的CA的密钥算法到SHA2。
3、 下面我们讲述怎么对现有的证书颁发机构hash算法从SHA-1提升到SHA-2,参考官方说明:
4、 从官方说明可以看出,如果我们的证书办法机构采用的是CSP,将需要先升级到KSP,然后在升级SHA1到SHA256,于是我们获取下我们的算法,得知我们的证书为KSP,在CA服务器执行如下命令,命令如下:
Certutil –store my yuntcloud-win-755ffhj510e-ca
[下图不是真实环境截图,我们只用注意查看最后一行的显示结果即可]
5、下面开始升级SHA-1到SHA-2,执行如下命令:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
结果显示,算法已经成功迁移到了SHA-256
6、 重启证书服务, 我们能看到根证书Hash算法已经变成了SHA-256。但是根证书颁发的证书还是SHA1.
7、点击续订CA证书
8、点击Yes,重启证书服务
9、继续选择Yes,在点击OK,
10、现在我们可以看到CA颁发的证书算法都变成了SHA-256.
11、Technet说明:对于已经颁发的证书,如果证书仍在有效期之内,是可以继续正常使用的。在证书到期之后,因为我们已经将CA的根证书升级到了SHA-2算法,因此只需要更新证书即可,更新后的证书会默认使用SHA-2加密算法。
12、因为我们需要更新skype服务器证书以便于iOS13手机登陆,所以把相关的域服务器都刷新了组策略,加快了根证书的更新,skype for business server 2015边缘服务器手动重新安装了CA根证书,然后把Exchange 2016服务器,OOS服务器,skype for business server 2015前端服务器,边缘服务器,持久聊天服务器自己颁发的证书都全部续订以及替换了一遍,以及Exchange OWA IM和SFB集成的web文件证书更换,至此,SHA-2升级工作全部完成,测试iOS手机,成功登陆,至此问题完美解决。